İranlı siber casusluk grubu MuddyWater, enfekte olmuş sistemleri meşru uzaktan yönetim yazılımlarıyla kontrol etmek yerine, özel yapım bir arka kapı yerleştirmeye yöneliyor.
Nisan ayında, grup, güvenlik operasyonları sağlayıcısı Sekoia’nın bir danışma yazısında belirttiğine göre, İnternet’e maruz kalan sunucuları hedef alarak veya mızraklı kimlik avı yoluyla sistemleri enfekte etti ve SimpleHelp veya Atera uzaktan yönetim platformlarının kurulumuyla son buldu. Ancak, Haziran ayında grup farklı bir saldırı zincirine geçti: Egnyte servisinde depolanan bir dosyaya yönlendiren gömülü bir bağlantı içeren kötü amaçlı bir PDF dosyası göndererek, Sekoia tarafından MuddyRot olarak adlandırılan yeni arka kapıyı kurdu.
Check Point Software de yeni araca geçişi kaydetti. MuddyWater, firmanın BugSleep adını verdiği arka kapı implantını Mayıs ayından beri kullanıyor ve Check Point Software’de tehdit istihbaratı grup yöneticisi olan Sergey Shykevich, bunu yeni özellikler ve hata düzeltmeleriyle hızla geliştirdiğini söylüyor.
Ancak, çoğu zaman kötü amaçlı yazılıma yeni hatalar da sokarlar. Shykevich, “Muhtemelen uzaktan yönetim araçlarını arka kapı olarak kullanma taktiklerinin yeterince etkili olmadığını fark ettiler ve hızla ev yapımı kötü amaçlı yazılıma geçmeye karar verdiler,” diyor. “Muhtemelen hızlı bir değişiklik için baskı nedeniyle, eksik bir sürüm yayınladılar.”
İran, Orta Doğu’da önemli bir siber tehdit aktörü haline geldi. En azından 2018’den beri MuddyWater tehdit grubu, ABD ve İngiltere hükümet kurumları tarafından ortaklaşa yayınlanan 2022 tarihli bir danışmada belirtildiği gibi, kötü niyetli saldırılarla çeşitli hükümet kurumlarını ve kritik endüstrileri hedef aldı. MuddyWater grubu, İran İstihbarat ve Güvenlik Bakanlığı’nın (MOIS) bir parçasıdır ve diğer siber güvenlik şirketleri gruptan Earth Vetala, MERCURY, Static Kitten, Seedworm ve TEMP.Zagros olarak bahsetmektedir. Ortak danışmaya göre.
Yapım Aşamasında Bir Saldırı Aracı
BugSleep arka kapısı, algılanmaktan veya bir sandbox’ta çalışmaktan kaçınmak için yürütmeyi geciktirme (yani “uykuya” geçme) gibi tipik anti-analiz taktiklerini kullanır. Arka kapı ayrıca şifreleme kullanır, ancak birçok durumda şifreleme düzgün bir şekilde yürütülmemiştir.
Şifreleme sorunları koddaki tek hata değildir. Diğer örneklerde, program bir dosya oluşturur — “a.txt” — ve sonra onu siler, görünüşe göre hiçbir sebep yokken. Bu sorunlar ve sık güncellemeler, kodun hala geliştirilme aşamasında olduğunu gösterir, Check Point Software’in tavsiyesi şöyle:.
Sekoia’nın danışmanlık kuruluşunda, MuddyWater’ın daha önce PowerShell’de yazılmış Powerstats adlı kendi arka kapı programlarını oluşturduğu, ancak daha sonra uzaktan yönetim (RMM) yazılımlarını kullanmaya başladığı belirtildi.
“MuddyWater operatörlerinin en azından bir kampanyada ilk enfeksiyon aşamasında neden ev yapımı bir implant kullanmaya geri döndüklerini henüz bilmiyoruz.” tavsiyede belirtilen“Kötü niyetli tehdit aktörleri tarafından kötüye kullanımın artmasının ardından güvenlik sağlayıcıları tarafından RMM araçlarının daha fazla izlenmesinin bu değişikliği etkilemiş olması muhtemeldir.”
Egnyte gibi bir dosya paylaşım hizmetinin kötü amaçlı belgeleri barındırmak için kullanılması saldırganlar arasında daha popüler hale geldi. Deneme süresi genellikle saldırganlara saldırı sırasında kullanacakları bir platform sağlamak için yeterli bir zamandır, diyor Check Point Software’den Shykevich.
“Saldırganlar enfeksiyon zincirleri içinde çok sayıda dosya paylaşım platformu kullanıyor,” diyor. “Teoride, yüklenen dosyaları taklit etmek ve taramak kötü amaçlı kullanımı azaltabilir, ancak dosya paylaşım hizmetleri operatörleri için operasyonel ve maliyet açısından oldukça karmaşıktır.”
Orta Doğu’da “APT’lerin Şemsiyesi”
Check Point Software’in danışmanlık açıklamasında, grubun kimlik avı kampanyalarında kullandığı yemlerin daha basit hale geldiği, “web seminerleri ve çevrimiçi kurslar gibi genel temalara” odaklandığı ve bu sayede daha yüksek hacimli saldırılar düzenlenebildiği belirtildi.
“Gelişmişlik düzeyleri orta düzeydedir, ancak kimlik avı kampanyaları ve belirli sektörleri veya kuruluşları hedefleme açısından oldukça ısrarcı ve saldırgan bir gruptur,” diyor Shykevich. “Aynı kuruluştaki veya aynı sektördeki birden fazla alıcıya yüzlerce kötü amaçlı e-posta gönderiyorlar ve bunu farklı günlerde yapıyorlar.”
Ancak MuddyWater tek bir grup olmayabilir. 2022’de Cisco’nun tehdit istihbarat grubu Talos, bunları şu şekilde tanımladı: “APT gruplarının bir şemsiyesi.” ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), grubu “İran hükümeti destekli gelişmiş kalıcı tehdit (APT) aktörlerinden oluşan bir grup” olarak tanımlıyor. danışmanlıkta.
CISA, grubun “kamuoyuna açık güvenlik açıklarını istismar ederek, çok sayıda açık kaynaklı araçtan yararlanarak ve hassas hükümet ve ticari ağlara erişim sağlamak için spearphishing” kullandığını belirterek, “MuddyWater saldırganları hem İran hükümetine çalınan verileri ve erişimleri sağlamak hem de bunları diğer kötü niyetli siber saldırganlarla paylaşmak için konumlandırılmıştır.” ifadelerini kullandı.
Grubun İsrail ve Suudi Arabistan’daki örgütlere saldırmaya odaklandığı ancak aralarında Hindistan, Ürdün, Portekiz, Türkiye ve hatta Azerbaycan’ın da bulunduğu diğer ülkeleri de hedef aldığı belirtildi.